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Die Erfindung betrifft ein Verfahren und eine Vorrich- 
tung zur Kommunikation zwischen Anwendungssyste- 
men (101, 501) in unterschiedlichen Netzwerken (1, 5) r 
wobei mindestens ein Anwendungssystem (101) in ei- 
nem internen Netzwerk (1) und mindestens ein Anwen- 
dungssystem (501) in einem externen Netzwerk (5) einge- 
bunden ist, mindestens dem internen Netzwerk eine Fire- 
wall zugeordnet ist, welche mindestens eine innere und 
aufcere Firewall (201, 202) umfaSt, die Kommunikation 
zwischen den Anwendungssystemen (101-103, 501-503) 
jeweils als Client-Server-lnteraktion uber einen Verbin- 
dungsserver (20) erfolgt, wobei der Verbindungsserver 
(20) in einer demilitarisierten Zone DM2 (2) zwischen der 
inneren und aufieren Firewall (201, 202) angeordnet ist, 
die Netzwerke (1, 5) jeweils mit mindestens einem Client- 
Rechner (10, 50) ausgebildet sind und einem Client-Rech- 
ner (10, 50) mindestens ein Anwendungssystem (101-103, 
501-503) zugeordnet ist. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren und eine Vor- 
richtung zur Kommunikation 7.wischen Anwendungssyste- 
men in unterschiedlichen Netzwerken. 
[0002] Anwendungssysteme laufen haufig sowohl in ei- 
nem internen Netzwerk als auch in externen Netzwerken, 
beispieisweise in Netzwerken verbundener Firmen ab. Sie 
tauschen Daten miteinander aus, verarbeiten diese und ana- 
lysieren sie. Anwendungssystem in diesem Sinne kann bei- 
spieisweise ein Marktplatz im B2X Umfeld sein, weicher 
mit Basisdaten versorgt wird. Dabei gewinnt der weltweite 
Datenaustausch aufgrund der Globalisierung zunehmend an 
Bedeutung. 

[0003] Der Austausch an Daten innerhalb eines Netzwer- 
kes, beispieisweise innerhalb eines firmeninternen Intranets, 
kann bereits ohne groBere Probleme realisiert werden. Die 
Sichcrhcit cincs Intranets ist untcr andcrcm abhangig vom 
Aufwand der in eine Sicherheitssoftware, beispieisweise 
eine Firewall, investiert wurde, welche das Intranet und In- 
ternet miteinander verbindet. Die Sicherheit ist weiter ab- 
hangig von der Strategie mit der die Sicherheitssoftware be- 
trieben wird. Hat man hier die notwendige Sorgfalt walten 
lassen, ist das Intranet relativ sicher. Ein Datenaustausch 
zwischen Anwendungssyslemen innerhalb eines Intranets 
ist daher ohne Verschlusselung der Daten und ohne eine 
starke Authentifikation der Anwendungssysteme durchfuhr- 
bar. 

[0004] Befinden sich die kommunizierenden Anwen- 
dungssysteme hingegen in unterschiedlichen Netzwerken, 
welche beispieisweise tiber das Internet Daten austauschen, 
ist eine starke Verschlusselung der Daten und eine strenge 
Authentifikation der Anwendungssysteme erforderlich. 
[0005] In die Geschaf tsprozesse groBer Unternehmen sind 
weltweit verteilte Firmen eingebunden. Sollen Anwen- 
dungssysteme, die in diesen Firmen betrieben werden, auto- 
matisch Daten miteinander austauschen, so muss der Auf- 
wand dafur gering gehalten werden, um effizient und wirt- 
schaftlich zu bleiben. 

[0006] Der Erfindung liegt daher das technische Problem 
zugrunde, ein Verfahren und eine Vorrichtung zur verbesser- 
ten Kommunikation zwischen Anwendungssystemen in un- 
terschiedlichen Netzwerken zu schaffen. 
[0007] Die Losung des technischen Problems ergibt sich 
durch die Gegenstande mit den Merkrnalen der Patentan- 
spriiche 1, 17, 33 und 34. Weitere vorteilhafte Ausgestaltun- 
gen der Erfindung ergeben sich aus den Unteranspriichen. 
[0008] Hierzu ist zwischen einem internen und einem ex- 
ternen Netzwerk eine Firewall aufgebaut, die mindestens 
eine dem internen Netzwerk zugeordnete auBere und eine 
innere Firewall umfasst, zwischen denen ein Verbindungs- 
server angeordnet ist und jedes Netzwerk mit mindestens ei- 
nem Client-Rechner ausgebildet, wobei einem Client-Rech- 
ner mindestens ein Anwendungssystem zugeordnet ist. Die 
Kommunikation zwischen den Anwendungssystemen er- 
folgt jeweils als unabhangige Client-Server-Interaktion uber 
den Verbindungsserver. Der Verbindungsserver unterstiitzt 
keine Dialogkommunikation zwischen Anwendungssyste- 
men, sondern trennt die Kommunikation in zwei entkop- 
pelte Ubertragungsstrecken auf, so dass der tatsachliche 
Aufbau eines An wendungssy stems fur das kommunizie- 
rende Anwendungssystem ohne Bedeutung ist Fur die 
Ubertragung loggen sich die Anwendungssysteme mittels 
Client-Rechner jeweils auf den Verbindungsserver ein. Die 
Kommunikation vcrlauft asynchron, so dass ein glcichzciti- 
ges Ein loggen kommunizierender Anwendungssysteme 
nicht notwendig ist. Zwischen den Client-Rechnem und 
dem Verbindungsserver findet jeweils ein hochverschlussel- 



BNSDOCID: <DE 1 03011 06A1_I_> 



01 106 A 1 

2 

ter Datentransfer statt, wohingegen der Datentransfer zwi- 
schen Anwendungssystemen eines gemeinsamen Netzwerks 
unverschlusselt erfolgen kann. 

[0009] In einer bevorzugten Ausfuhrungsforni ist einem 
5 Anwendungssystem auf dem Client-Rechner eine Client- 
Kommunikationskomponente zugeordnet, wobei die Client- 
Kommunikauonskomponenten dynamisch aufgebaut wer- 
den. Die gesamte Kommunikationssoftware kann zentral 
vom Verbindungsserver zur Verfugung gestellt werden. Bei- 
io spielsweise kann das Anwendungssystem auf einem Rech- 
ner mit Browser installiert sein, weicher eine JAVA Virtual 
Machine unterstiitzt. Die Kommunikationssoftware kann 
dann als Applet an den Rechner des Anwendungssystems 
ubertragen und auf diesem automatisch installiert werden. 
15 Die Client-Kommunikationskomponenten generieren ein 
Interface, uber das eine Kommunikation zwischen den An- 
wendungssystemen und den Client- Kommunikationskom- 
poncntcn stattfindct. 

[0010] In einer weiteren Ausfuhrungsform werden auf 
20 dem Verbindungsserver zu den einzelnen aktiven Anwen- 
dungssystemen Server- Kommunikationskomponenten dy- 
namisch aufgebaut. 

[0011] In einer bevorzugten Ausfuhrungsform umfasst 
eine Chent-Kommunikauonskomponente und/oder eine 
25 Server-Kommunikationskomponenle mindestens ein Dalei- 
Register und ein Control-Register. In das Datei-Register 
kann das Anwendungssystem beispieisweise zu ubertra- 
gende Dateien einstellen. Die Control-Register dienen der 
Kommunikation und Steuerung zwischen den Anwendungs- 
30 systemen und den Verbindungsservern und der Kommuni- 
kation und Steuerung der Anwendungssysteme untereinan- 
der. In der Verbindung Anwendungssystem - Client - Ver- 
bindungsserver findet hingegen keine Steuerung statt. Die 
Verbindungsserver werden alle dynamisch gleich struktu- 
35 riert, d. h., die Statusschnittstellen der verschiedenen Ver- 
bindungsserver werden dynamisch gleich aktualisiert. Da- 
neben ist es denkbar, in einem Status-Register Inform atio- 
nen uber die Daten-Ubertragung zu sammeln. 
[0012] In einer bevorzugten Ausfuhrungsform ist ein 
40 LDAP-Server vorgesehen, auf dem fur die einzelnen An- 
wendungssysteme Identifier mit zugehorigen Passwords ab- 
gelegt sind. LDAP (Lightweight Directory Access Protocol) 
ist eine funktionell reduzierte Version des in iTU-T X.500 
spezifizierten DAP fur den einfachen Zugang zu Verzeich- 
45 nisdiensten uber TCP/iP-Netze. 

[0013] In einer weiteren bevorzugten Ausfuhrungsform 
ist auf dem LDAP-Server ein Policy Director instalhert, in 
dem die Passwords gespeichert sind und eine Authentisie- 
rungspriifung fur jedes Anwendungssystem durchgefuhrt 
50 wird. 

[0014] In einer weiteren bevorzugten Ausfuhrungsform 
wird zur Kommunikation mit verschiedenen externen Netz- 
werken jedem externen Netzwerk jeweils ein eigener Ver- 
bindungsserver mit Firewall zugeordnet. 
55 [0015] Vorzugsweise wird dabei ein zentraler LDAP-Ser- 
ver verwendet, der mit den verschiedenen Verbindungsser- 
vern verbunden ist, wobei auf dem LDAP-Server zu den 
Identifiem der Anwendungssysteme Attribute abgelegt sind, 
in denen das zugehorige exteme Netzwerk eines Anwen- 
60 dungssystems abgelegt ist. 

[0016] Zum automatischen Datei transfer von einem An- 
wendungssystem an den Verbindungsserver (Upload) wird 
stellt das Anwendungssystem eine Datei zum Upload in 
seine Chent-Kommunikationskomponente, vorzugsweise 
65 sein Upload-Datci-Rcgistcr, und in Verbindung mit der Da- 
tei wird ein Upload-Request in die Client- Kommunikations- 
komponente, vorzugsweise das Upload-Control-Register 
geschrieben, wobei der Inhalt dieses Upload-Requests min- 
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destens eine Kennung und eine Identifikation des Anwen- 
dungs systems ist, zu dem die Datei ubertragen werden soli. 
Die Kennung einer Datei kann beispielsweise ihre Bezeich- 
nung, ihren Datei -T\p sowie das erstellende Anwendungs- 
system beihalten. Dariiber hinaus sind zusatzliche Informa- 
tionen wie Zeitpunkt der Ersteilung, GroBe der Datei etc. 
denkbar. 

[0017] In einem weiteren Schritt wird mittels einer 
Upload-Funktion des Client-Rechners des Daten sendenden 
An wendungssy stems die Client-Komrnunikationskompo- 
nente, vorzugsweise das entsprechende Control-Register ge- 
scanned und der Upload-Request gelesen, eine Verbindung 
zum Verbindungsserver aufgebaut und die Datei aus der 
Client-Kommunikationskomponente, vorzugsweise dem 
entsprechenden Datei-Register an den Verbindungsserver 
ubertragen. Die Datei kann fiir die Ubertragung in Unterda- 
teien gesplittet oder durch ein geeignetes Verfahren kompri- 
micrt wcrdcn. Die Ubertragung der Datcicn crfolgt bevor- 
zugt im https- Format. 

[0018] Zum automatischen Dateitransfer vom Verbin- 
dungsserver an ein empfangendes Anwendungssystem 
(Download) wird in eine dem Anwendungssystem zugeord- 
nete Server-Kommunikationskomponente des Verbindungs- 
servers ein Download-Requesl gestellt. Uber eine Downlo- 
adfunktion des Clienl-Rechners des empfangenden Anwen- 
dungssystems wird die Kommunikationskomponente ge- 
scanned und so der Download-Request erkannt. 
[0019] AnschlieBend wird eine Verbindung von dem An- 
wendungssystem zum Verbindungsserver aufgebaut und die 
Datei an die dem Anwendungssystem zugeordnete Client- 
Kommunikationskomponente des empfangenden Client- 
Rechners ubertragen, wobei mit der Datei ein Request in die 
Client-Kommunikationskomponente des Anwendungssy- 
stems geschrieben wird. 

[0020] In einem weiteren Schritt scanned der Client-Rech- 
ner des empfangenden Anwendungssystems die Client- 
Kommunikationskomponente, liest den Request aus und ak- 
tiviert das Anwendungssystem. 

[0021] In einer weiteren bevorzugten Ausfuhrungsform 
wird bei einem Abbruch der Client- Server- Verbindung die 
Verbindung automatisch wieder aufgebaut, wobei vorzugs- 
weise festgestellt wird, wieviel Ubertragungen zum Zeit- 
punkt des Abbruchs innerhalb der Verbindung aktiv waren. 
Von den aktiven empfangenen Dateien wird der Bytecount 
an die Sender ubermittelt, worauf dann die Sender die 
Counts der zu sendenden Dateien entsprechend einstellen 
und die Verbindung aktivieren. 

[0022] In einer weiteren bevorzugten Ausfuhrungsform 
wird nach dem Upload einer Datei auf dem Verbindungsser- 
ver eine Funktion aktiv, die feststellt, an welches oder an 
welche Anwendungssystem(e) die Datei ubertragen werden 
soil. Fiir das/die entsprechende(n) Anwendungssystem(e) 
wirdVwerden dann Download-Requests in die zugehorigen 
Schnittstellen gestellt. 

[0023] In einer bevorzugten Ausfuhrungsform ist zu uber- 
tragenden Dateien ein Verfallsdatum zugeordnet. Die Da- 
teien werden fur einen Download auf dem Verbindungsser- 
ver zwischen gespeichert und nach Ablauf einer durch das 
Verfallsdatum gegebenen Frist werden die Dateien aus dem 
Speicher des Verbindungsservers entfernt. Vorzugsweise 
werden auch die dynamisch aufgebauten Kommunikations- 
komponenten mit dem Verfallsdatum auf dem Verbindungs- 
server und den Anwendungssystemen geloscht. 
[0024] Die Erflndung wird nachfolgend anhand eines be- 
vorzugten Ausfuhrungsbcispicls nahcr crlautcrt. Die cinzigc 
Figur zeigt: 

[0025] Fig. 1 ein schematisches Blockschaltbild einer 
Vorrichtung zur Kommunikation zwischen Anwendungssy- 



stemen in verschiedenen Netzwerken. 

[0026] Das Gesamtsystem umfasst im wesentlichen funf 
Bereiche, namlich ein internes Netzwerk (Intranet) 1, ein 
externes Netzwerk 5, eine dem internen Netzwerk 1 zuge- 

5 ordnete demilitarisierte Zone 2, das Internet 3 und eine dem 
externen Netzwerk 5 zugeordnete demilitarisierte Zone 4. 
Zwischen der demilitarisierten Zone 2 und dem Internet 3 ist 
eine auBere Firewall 202 und zwischen der demilitarisierten 
Zone 2 und dem Intranet 1 ist eine innere Firewall 201 auf- 

10 gebaut. Zwischen der inneren Firewall 201 und der auBeren 
Firewall 202 sind ein Verbindungsserver 20 und ein LDAP- 
Server 21 angeordnet. Zur Abwicklung eines oder mehrerer 
Geschaftsprozesse werden interne Anwendungssysteme 
101-103 sowie externe Anwendungssysteme 501-503 ein- 

15 gesetzt. Bei den Geschaftsprozessen handelt es sich bei- 
spielsweise um Geschaftsprozesse des B2X, aber auch jede 
andere Art von Prozessen ist denkbar. Die Anwendungssy- 
steme 101-103 des Intranets 1 laufen beispielsweise auf ei- 
nem gemeinsamen Rechner ab. Dieser Rechner dient auch 

20 gieichzeitig als Client-Rechner 10 fur die Kommunikation 
mit dem Verbindungsserver 20. Daneben ist es denkbar, dass 
die Anwendungssysteme 101-103 auf unterschiedlichen 
Rechnern ablauf en, wobei mindestens zwei Anwendungssy- 
steme einem gemeinsamen Client-Rechner zugeordnet sein 

25 konnen und/oder der Rechner eines Anwendungssystems 
gieichzeitig Client-Rechner sein kann. 
[0027] Auf dem Client-Rechner 10 ist ein nicht dargestell- 
ter Browser installiert, welcher beispielsweise eine JAVA 
Virtual Machine unterstutzt. Fiir eine Kommunikation mit 

30 dem Verbindungsserver 20 sind auf dem Client-Rechner 10 
spezielle Client- Komrnunikationskomponenten 1011, 1021, 
1031 installierbar. Fiir jedes Anwendungssystem 101, 102, 
103, welches dem Client-Rechner 10 zugeordnet ist, ist vor- 
zugsweise eine eigene Client- Kommunikationskomponente 

35 1011, 1021, 1031 vorhanden. In dem externen Netzwerk 5 
ist mindestens ein extemer Client-Rechner 50 angeordnet. 
Dem Client-Rechner 50 sind die Anwendungssysteme 501, 
502, 503 zugeordnet. Dabei konnen die Anwendungssy- 
steme 501-503 des externen Netzwerks 5 ebenfalls auf ei- 

40 nem gemeinsamen Rechner und/oder getrennten Rechnern 
ablauf en. Das exteme Netzwerk 5 kann auBerdem ebenfalls 
als Intranet ausgebildet sein und ist vorzugsweise auch 
durch eine Sicherungssoftware, bestehend aus einer auBeren 
Firewall 402 und einer inneren Firewall 401 gegen uner- 

45 laubte Zugriffe aus dem Internet 3 geschutzt. Weiter ist dem 
Client-Rechner 50 ein nicht dargesteilter Browser zugeord- 
net und fiir jedes Anwendungssystem 501, 502, 503 ist eine 
Client-Kommunikationskomponente 5011, 5021, 5031 fur 
eine Kommunikation aufbaubar. Vorzugsweise ist auf dem 

50 Verbindungsserver 20 fiir jedes Anwendungssystem 
101-103, 501—503 eine zugehorige Server- Kommunikati- 
onskomponente 2101-2103, 2501-2503 aufgebaut. 
[0028] Die Kommunikation zwischen dem Anwendungs- 
system 101 im Intranet 1 und dem Anwendungssystem 501 

55 im externen Netzwerk 5 wird nun in zwei voneinander ent- 
koppelte Client-Server-Interaktionen aufgespalten, namlich 
zwischen einem dem Anwendungssystem 101 zugeordneten 
Client-Rechner 10 und dem Verbindungsserver 20 und ei- 
nem dem Anwendungssystem 501 zugeordneten Client- 

60 Rechner 50 und dem Verbindungsserver 20. Die Kommuni- 
kation erfolgt uber die entsprechenden Client- und Server- 
Kommunikationskomponenten. Unter Client-Server-Inter- 
aktion wird dabei allgemein die Art und Weise der Zusam- 
menarbeit gemafi vereinbarter Regeln zwischen einem 

65 Client- Rechner und einem Server zur Losung einer Aufgabc 
in einem Client-Server-System verstanden. Zwischen den 
Client-Rechnern und den Verbindungsservern erfolgt ein 
hoch verschlusselter Datentransfer, der vorzugsweise im 
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https-Format erfolgt. Der Datentransfer zwischen Client- 
Rechner und Anwendungssystem erfolgt ublicherweise un- 
verschliisselt. 

[0029] Das System arbeitet vorzugsweise mit der signed 
Applet Technologie, dadurch kann die Client-Kommunika- 
tionskomponenten 1011, 1021, 1031, 5011, 5021, 5031 
durch ein Applet dynamisch aufgebaut werden. Hierfur sen- 
det das Anwendungssystem 101, 102, 103, 501, 502, 503 
eine Login-Anfrage an den Verbindungsserver 20. Der Ver- 
bindungsserver 20 uberpriift die Zulassigkeit der Login-An- 
frage eines Anwendungssystems 101-103, 501—503 anhand 
der Daten des LDAP-Servers 21. Wird die Zulassigkeit der 
Login-Anfrage seitens des Verbindungsservers 20 bejaht, so 
sendet dieser ein Applet an den Browser des Client-Rech- 
ners 10, 50. Das Applet wird in dem Browser gestartet und 
dadurch die entsprechende Client- Kommunikationskompo- 
nente 1011, 1021, 1031, 5011, 5021, 5031 aufgebaut. Eine 
Clicnt-Kommunikationskomponcntc 1011, 1021, 1031, 
5011, 5021, 5031 ist dabei mit mindestens einem Datei-Re- 
gister und mindestens einem Control-Register erzeugbar. 
Bevorzugt werden fur Upload und Download jeweils ein 
Datei-Register und ein Control-Register erzeugt. Nach ei- 
nem Logout des Anwendungssystems 101—103, 501-503 
kann die Client-Kommunikationskomponente 10U, 1021, 
1031, 5011, 5021, 5031, auf dem Client-Rechner 10, 50 wie- 
der entfemt werden. Fur einen dynamischen Aufbau einer 
Client-Kommunikationskomponente 1011, 1021, 1031, 
5011, 5021, 5031 ist keine spezielle Kommunikationssoft- 
ware in Verbindung mit dem Anwendungssystem 101-103, 
501-503 notwendig. Daher kann jedes autorisierte Anwen- 
dungssystem jederzeit in die Kommunikation eingebunden 
werden. Gleichzeitig sind verwendete Programme schnell 
und einfach aktualisierbar. Dabei miissen nur hinsichtlich 
der verwendeten Browser gewisse Abstimmungen getroffen 
werden. Fiir hochfrequentierte Anwendungssysteme 
101—103 des Intranets 1 kann jedoch auch eine feste Instal- 
lation zweckmafiig sein. Fiir Anwendungssysteme auf ei- 
nem Rechner ohne Browser oder Java runtime Umgebung 
ist kein dynamischer Client- Aufbau durch ein Applet mog- 
lich. Derartige Anwendungssysteme konnen iiber einen 
NFS -Rechner mit einem Client-Rechner verbunden werden. 
Aus Sicherheitsaspekten ist ein dynamischer Aufbau der 
Client-Kommunikationskomponenten auf dem Client- 
Rechner des Anwendungssystems jedoch zu bevorzugen. 
[0030] Prinzipiell kann alternativ oder kumulativ zu der 
signed Applet Technologie ein Programm mit Installations- 
Skript zur Verfugung gestellt werden, das vom Verbin- 
dungsserver 20 herunter geladen und installiert werden 
kann. Das Programm hat dabei die Funktionalitat des App- 
lets. 

[0031] Der Verbindungsserver 20 uberpriift die Identitat 
des Client-Rechners 10, 50 und/oder des zugehorigen An- 
wendungssystems 101-103, 501-503. Jedes interne Anwen- 
dungssystem 101-103 erhalt vorzugsweise einen Identifier, 
der zusammen mit einem Password auf dem LDAP- Server 
21 abgespeichert wird. Jedes externe Anwendungssystem 
501—503 wird dariiber hinaus vorzugsweise mit einem Attri- 
but abgespeichert. Dieses Attribut beinhaitet eine Informa- 
tion, iiber welchen Verbindungsserver 20 und/oder iiber wel- 
ches exteme Netzwerk 5 ein extemes Anwendungssystem 
501-503 von einem Anwendungssystem 101-103 im Intra- 
net 1 erreichbar ist. Jeder Verbindungsserver 20 ladt sich die 
Gesamtheit aller im LDAP-Server 21 gespeicherten Identi- 
fier herunter und erstellt fur diese Server- Kommunikauons- 
komponcntcn. Dicsc bcidcn Funktioncn werden fur ncu dc- 
finierte LDAP-Eintrage auf Anforderung oder zyklisch wie- 
derholt. Des weiteren kann auf dem LDAP-Server 21 ein 
Policy Director installiert werden, der uberpriift, ob die ge- 



planten Kommunikationen bzw. ZugrirTe den Zugriffsrech- 
ten des jeweiligen Anwendungssystems entsprechen. Ge- 
maB der dargestellten Ausflihrungsform ist der zentrale 
LDAP-Server 21 zwischen den Firewalls 201, 202 angeord- 
5 net. Daneben ist es auch denkbar, den LDAP-Server 21 im 
Intranet 1 anzuordnen. 

[0032] Der Datentransfer laBt sich dabei in folgende 
Schritte unterteilen: 

Das Anwendungssystem 101, welches eine Datei an das An- 
io wendungssystem 501 ubertragen mochte, stellt die Datei 
zum Upload fur den Verbindungsserver 20 in die Client- 
Kommunikationskomponente 1011, vorzugsweise in ein 
Upload-Datei-Register. In Verbindung mit dieser Datei wird 
ein Request in die Client- Kommunikationskomponente 
15 1011 geschrieben, vorzugsweise in ein Upload-Control- Re- 
gister. Dem Request ist mindestens das Ziel- Anwendungs- 
system 501 und eine Kennung der zu ubertragenden Datei 
zu entnehmcn. 

[0033] Eine Upload-Funktion des Client-Rechners 10 

20 scanned in periodischen Abstanden die zugehorige Client- 
Kommunikationskomponente 1011. Der Request wird ein- 
gelesen und der Client-Rechner 10 baut eine Verbindung 
zum Verbindungsserver 20 auf. Der Verbindungsserver 20 
ist mit einer Server- Kommunikationskomponente 2101 aus- 

25 gebildet, in welche der Client-Rechner 10 des Anwendungs- 
systems 101 sein Request einstellen kann. Auf dem Verbin- 
dungsserver 20 wird entsprechend des Requests eine Spei- 
chers telle eingerichtet, in welche der Client-Rechner 10 die 
zu ubertragende Datei einstellen kann und der Client-Rech- 

30 ner 10 ubertragt die Datei zum Verbindungsserver 20. 

[0034] Entsprechend des Requests wird auf dem Verbin- 
dungsserver 20 eine Schnittstelle 2501, welche dem Anwen- 
dungssystem 501 zugeordnet ist, aktualisiert. Eine Downlo- 
adfunktion des Client-Rechners 50 des empfangenden An- 

35 wendungssy stems 501 scanned die Schnittstelle 2501, er- 
kennt den Request, baut eine Verbindung zum Verbindungs- 
server 20 auf und ladt die Datei in die Client-Kommunikati- 
onskomponente 5011 des Client-Rechners 50 herunter, vor- 
zugsweise in ein entsprechendes Download-Datei-Register. 

40 In Verbindung mit dem Speichern der Datei wird der Re- 
quest in die Client- Kommunikationskomponente 5011 ge- 
schrieben, vorzugsweise in ein entsprechendes Download- 
Control-Register. Dem Request kann das Anwendungssy- 
stem 501 beispielsweise das sendende Anwendungssystem 

45 101 entnehmen. Es ist auch denkbar, einen Verwendungs- 
zweck durch den Request zu ubermitteln. GemaB der Enve- 
lope-Technik erweitem der Client-Rechner 10 des senden- 
den und/oder des empfangenden Anwendungssystems und/ 
oder der Verbindungsserver 20 den Request des Anwen- 

50 dungssy stems 101 entsprechend ihrer Bediirfnisse. 

[0035] Erfolgt ein Abbruch der Client-Server- Verbindung, 
so wird die Verbindung automatisch neu gestartet. Es wird 
festgestellt, wieviel Ubertragungen zum Zeitpunkt des Ab- 
bruchs innerhalb der Verbindung aktiv waren. Von den akti- 

55 ven empfangenen Dateien wird der Bytecount an den oder 
die Sender, d. h. entweder den Client-Rechner fiir einen 
Upload oder den Verbindungsserver bei einem Download, 
iibermittelt. Die Sender stellen die zu sendenden Dateien auf 
diese Counts ein und aktivieren die Verbindung. 

60 [0036] Des weiteren ist es auch moglich, dass eine Datei 
an mehrere Anwendungssysteme verteilt werden soli. Nach 
dem Upload einer Datei wird auf dem Verbindungsserver 20 
daher eine Funktion aktiv, die feststellt, an welche Anwen- 
dungssysteme die Datei verteilt werden soli. Fiir jedes dieser 

65 Anwendungssysteme wird cin cntsprcchcndcr Download- 
Request in eine ihm zugeordnete Kommunikationskompo- 
nente 2101-2103, 2501-2503 auf dem Verbindungsserver 
20 gestellt. 
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[0037] Es kann sein, dass die Anwendungssysteme in den 
externen Netzwerken uber unterschiedliche Verbindungs- 
server erreichbar sind. 

[0038] Die Client-Kornrnunikationskornponente 
1011-1103, 5011-5031 umfasst bei spiels weise ein Datei- 5 
Register, ein Control-Register und ein Status-Register. In 
das Datei-Register werden Dateien fur eine Ubertragung 
und/oder empfangenen Dateien abgeiegt. Das Datei-Regi- 
ster der Client-Kommunikationskomponente 1011-1031, 
5011-5031 ist mindestens durch das zugehdrige An wen- 10 
dungssystem 101-103, 501-503 zuganglich. Teilweise kann 
weiter ein Zugriff durch andere Programme des zugehorigen 
Client-Rechners 10, 50 sinnvoll sein. Das Datei-Register ist 
gegen einen unberechtigten Zugriff geschiitzt. Ein Request 
fur einen Upload oder einen Download einer im Datei-Regi- 15 
ster abgelegten Datei wird in das Control-Register geschrie- 
ben. Informationen uber den Verlauf der Ubertragung, bei- 
spiclswcisc cine Antwort des Vcrbindungsscrvcrs auf cr- 
folgreichen Upload oder Fehlermeldungen werden in das 
Status-Register geschrieben. Je nach Detaillierungsgrad ei- 20 
nes Requests ist ein Schutz des Control-Registers gegen un- 
berechtigten Zugriff notwendig. Das Status-Register unter- 
liegt in der Regel keinen Sicherheitsvorkehrungen. 
[0039] Ein Anwendungssystem 101 im Intranet 1 priift 
vor der Iniiiierung eines Upload-Requests, d. h. vor einer 25 
Ubertragung einer Datei an den Verbindungsserver 20, ob 
die Identifier aller empfangenden, externen Anwendungssy- 
steme 501-503 in einer Distribution-List auf dem LDAP- 
Server definiert worden sind. Ist das nicht der Fall, entschei- 
det das Anwendungssystem 101, 30 

- ob der Upload-Request trotzdem initiiert wird und 
die Datei so weit wie moglich an externe Anwendungs- 
systeme verteilt wird oder 

- ob die Verteilung erst nach der Nachdefinition der 35 
fehlenden Identifier im LDAP-Server/Policy Director 
durchgefiihrt wird. 

[0040] In beiden Fallen stellt der Verbindungsserver auto- 
matisch fest, dass die Identifier nachdefiniert wurden und 40 
schlieBt die Verteilung ab. 

[0041] Die Ubertragungsstrecke zwischen zwei Anwen- 
dungssystemen ist transparent — sowohl fur den Beobachter 
auf der Sendeseite als auch fur den Beobachter auf der Emp- 
fangsseite. Jedes Ereignis auf dieser Strecke (Bereitstellung 45 
des Files, Start und Ende Komprimierung, Start und Ende 
der Session, . . .) wird mit einem Timestamp versehen. 
Diese Informationen werden in Status-Registern der Kom- 
munikations-Schnittstellen der Anwendungssysteme ge- 
speichert. Daneben werden sie auch in den speziellen An- 50 
wendungssystemen zugeordneten Status-Schnittstellen auf 
dem Verbindungsserver 20 abgeiegt. Auf die Status-Schnitt- 
stellen kann zugegrifTen werden, solange eine Transaktions- 
beziehung zwischen dem Verbindungsserver und dem An- 
wendungssystem besteht. Das Setzen bzw. Auslesen der 55 
Statusschnittstellen kann unverschlusselt iiber XML/HTML 
erfolgen. Die Daten der Status-Schnittstellen konnen gra- 
ft sch aufbereitet iiber HTML-Seiten anwendungssystemspe- 
zifisch abgerufen werden. Dazu muB man sich uber einen 
separaten Account in den Verbindungsserver 20 einloggen. 60 
[0042] Die Ubertragung von Daten vom Anwendungssy- 
stem 501 zum Anwendungssystem 101 erfolgt entsprechend 
umgekehrt. 

Patcntanspriichc 65 

1. Vorrichtung zur Kommunikation zwischen Anwen- 
dungssystemen in unterschiedlichen Netzwerken, wo- 
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bei mindestens ein Anwendungssystem in einem inter- 
nen Netzwerk und mindestens ein Anwendungssystem 
in einem externen Netzwerk eingebunden ist, minde- 
stens dem intemen Netzwerk eine Firewall zugeordnet. 
ist und die Firewall mindestens eine innere und auBere 
Firewall umfasst, dadurch gekennzeichnet, dass 
in einer dermlitarisierten Zone DMZ (2) zwischen der 
inneren und auBeren Firewall (201, 202) ein Verbin- 
dungsserver (20) angeordnet ist und die Netzwerken 
(1, 5) mit jeweils mindestens einem Client-Rechner 
(10, 50) ausgebildet sind, 

einem Client-Rechner (10, 50) mindestens ein Anwen- 
dungssystem (101-103, 501-503) zugeordnet ist, und 
die Kommunikation zwischen den Anwendungssyste- 
men (101-103, 501-503) jeweils als Client-Server-In- 
teraktion uber den Verbindungsserver (20) erfolgt. 

2. Vorrichtung nach Anspruch 1, dadurch gekenn- 
zeichnet, dass mindestens einem Anwendungssystem 
(101-103, 501-503) auf dem Client-Rechner (10, 50) 
eine Client-Kommunikationskomponente (1011—1031, 
5011-5031) zugeordnet ist, wobei die Client- Kommu- 
nikationskomponente (1011-1031, 5011-5031) dyna- 
misch aufbaubar ist. 

3. Vorrichtung nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, dass auf dem Verbindungsserver (20) zu 
den einzelnen An wendungssystemen (101-103, 
501—503) Server- Kommunikationskomponenten 
(2101-2103, 2501-2503) erstellbar sind. 

4. Vorrichtung nach Anspruch 2 oder 3, dadurch ge- 
kennzeichnet, dass eine Client-Kommunikationskom- 
ponente (1011-1031, 5011-5031) und/oder eine Ser- 
ver-Kornmunikationskomponente (2101—2103, 
2501-2503) mindestens ein Datei-Register und ein 
Control-Register umfasst. 

5. Vorrichtung nach einem der vorangegangenen An- 
spriiche, dadurch gekennzeichnet, dass die Vorrichtung 
einen LDAP-Server (21) umfaBt, auf dem fur die ein- 
zelnen Anwendungssysteme (101-103, 501-503) 
Identifier mit zugehorigen Passwords abgeiegt sind. 

6. Vorrichtung nach Anspruch 5, dadurch gekenn- 
zeichnet, dass auf dem LDAP-Server (21) ein Policy 
Director installiert ist. 

7. Vorrichtung nach einem der vorangegangenen An- 
spruche, dadurch gekennzeichnet, dass verschiedenen 
externen Netzwerken (5) jeweils ein eigener Verbin- 
dungsserver (20) mit Firewall (201, 202) zugeordnet 
ist. 

8. Vorrichtung nach Anspruch 7, dadurch gekenn- 
zeichnet, dass die verschiedenen Verbindungsserver 
(20) mit dem zentralen LDAP-Server (21) verbunden 
sind, wobei bei auf dem LDAP-Server (21) zu den 
Identifiern Attribute abgeiegt sind, in denen das zuge- 
horige Netzwerk (5) eines Anwendungssystems 
(501-503) abgeiegt ist. 

9. Vorrichtung nach einem der vorangegangenen An- 
sprtiche, dadurch gekennzeichnet, dass zum automati- 
schen Dateitransfer von einem sendenden Anwen- 
dungssystem (101) an den Verbindungsserver (20) eine 
Datei zum Upload in die Chent-Kommunikationskorn- 
ponente (1011) stellbar ist, in Verbindung mit dieser 
Datei ein Upload-Request in die Client-Kommunikab- 
onskomponente (1011) schreibbar ist, wobei der Inhalt 
des Upload-Requests mindestens eine Kennung der zu 
iiberiragenden Datei und eine Identifikation des An- 
wendungssystems (501) ist, zu dem die Datei iibcrtra- 
gen werden soil. 

10. Vorrichtung nach Anspruch 9, dadurch gekenn- 
zeichnet, dass mittels einer Upload-Funktion des 
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Client-Rechners des sendenden Anwendungssystems 
(101) die Client- Kommunikationskomponente (1011) 
scannbar und der Upload-Request lesbar ist, eine Ver- 
bindung zum Verbindungsserver (20) aufbaubar und 
die Datei an den Verbindungsserver (20) ubertragbar 5 
ist. 

1 1 . Vorrichtung nach Anspruch 9 oder 10, dadurch ge- 
kennzeichnet, dass zum automatischen Dateitransfer 
vom Verbindungsserver (20) an ein empfangendes An- 
wendungssystem (501) eine dem Anwendungssystem 10 
(501) zugeordnete Server-KommunikaUonskompo- 
nente (2501) mil einem Download-Request aktualisier- 
bar ist, uber eine Downloadfunktion des Client-Rech- 
ners des empfangenden Anwendungssystems (501) die 
Server-Kommunikationskomponente (2501) scannbar 15 
und der Download-Request erkennbar ist, eine Verbin- 
dung zurn Verbindungsserver (20) aufbaubar und die 
Datci an die Clicnt-Kommunikadonskomponcntc 
(5011) des dem Anwendungssystems (501) zugeordne- 
ten Client-Rechners (50) ubertragbar ist und ein Re- 20 
quest in die Client-KommunikaUonskomponente 
(5011) schreibbar ist. 

12. Vorrichtung nach Anspruch 11, dadurch gekenn- 
zeichnet, dass der Client-Rechner (50) des empfangen- 
den Anwendungssystems (501) die Client- Kommuni- 25 
kationskomponente (5011) scanned, den Request aus- 
liest und das Anwendungssystem (501) aktiviert. 

13. Vorrichtung nach einem der vorangegangenen An- 
spriiche, dadurch gekennzeichnet, dass bei Abbruch ei- 
ner Verbindung zwischen Client-Rechner (10, 50) und 30 
Verbindungsserver (20) ein automatischer Neuaufbau 
der Verbindung herstellbar ist. 

14. Vorrichtung nach Anspruch 13, dadurch gekenn- 
zeichnet, dass die Anzahl der beim Abbruch aktiven 
Ubertragungen ermittelbar ist und von den aktiven 35 
empfangenen Dateien ein Bytecount an die Sender 
ubertragbar ist, wobei durch die Sender die Counts der 
zu sendenden Dateien auf das ubertragene Bytecount 
einstellbar und die tfbertragung aktivierbar ist. 

15. Vorrichtungen nach einem der vorangegangenen 40 
Anspriiche, dadurch gekennzeichnet, dass durch ein 
Upload einer Datei auf dem Verbindungsserver (20) 
eine Funktion aktivierbar ist, mittels derer ermitteibar 
ist, an welche Anwendungssysteme die Datei verteilt 
werden soli. 45 

16. Vorrichtungen nach einem der vorangegangenen 
Anspriiche, dadurch gekennzeichnet, dass die zu uber- 
tragenden Dateien auf dem Verbindungsserver (20) 
speicherbar sind, wobei den Dateien ein Verfallsdatum 
zugeordnet ist. 50 

17. Verfahren zur Kommunikation zwischen Anwen- 
dungssystemen in unterschiedlichen Netzwerken, wo- 
bei mindestens ein Anwendungssystem in einem inter- 
nen Netzwerk und mindestens ein Anwendungssystem 

in einem externen Netzwerk eingebunden ist, minde- 55 
stens dem internen Netzwerk eine Firewall zugeordnet 
ist und die Firewall mindestens eine innere und auBere 
Firewall umfasst, dadurch gekennzeichnet, dass die 
Kommunikation zwischen den Anwendungssystemen 
(101-103, 501-503) jeweils als Client- Server-Interak- 60 
tion uber einen Verbindungsserver (20) erfolgt, wobei 
der Verbindungsserver (20) in einer demilitarisierten 
Zone DMZ (2) zwischen der inneren und auBeren Fire- 
wall (201, 202) angeordnet ist, die Netzwerke (1, 5) je- 
weils mit mindestens einem Ciicnt-Rcchncr (10, 50) 65 
ausgebildet sind und einem Client-Rechner (10, 50) 
mindestens ein Anwendungssystem (101-103, 
501-503) zugeordnet ist. 



18. Verfahren nach Anspruch 17, dadurch gekenn- 
zeichnet, dass mindestens eine Client- Kommunikati- 
onskomponente (1011-1031, 5011-5031) dynamisch 
aufgebaut wird, wobei die Client -Kommuni kations- 
komponente (1011-1031, 5011-5031) mindestens ei- 
nem Anwendungssystem (101-103, 501-503) auf dem 
Client-Rechner (10, 50) zugeordnet ist. 

19. Verfahren nach Anspruch 17 oder 18 dadurch ge- 
kennzeichnet, dass auf dem Verbindungsserver (20) zu 
den einzelnen Anwendungssystemen (101-103, 
501-503) Sewer- Kommunikationskomponente n 
(2101-2103, 2501-2503) ersteilt werden. 

20. Verfahren nach Anspruch 18 oder 19, dadurch ge- 
kennzeichnet, dass eine Client-KommunikaUonskom- 
ponente (1011-1031, 5011-5031) und/oder eine Ser- 
ver-Kommunikationskomponente (2101-2103, 
2501-2503) mindestens ein Datei-Register und ein 
Control-Register umfasst. 

21. Verfahren nach einem der Anspriiche 17 bis 20 
mittels eines LDAP-Servers, dadurch gekennzeichnet, 
dass auf dem LDAP-Server (21) fur die einzelnen An- 
wendungssysteme (101-103, 501-503) Identifier mit 
zugehorigen Passwords abgelegt sind. 

22. Verfahren nach Anspruch 21, dadurch gekenn- 
zeichnet, dass auf dem LDAP-Server (21) ein Policy/ 
Director installiert ist, in dem die Passwords abgefegt 
sind und die Zugangsberechdgung eines Anwendungs- 
systems (101-103, 501-503) uberpruft wird. 

23. Verfahren nach einem der Anspriiche 17 bis 22, 
dadurch gekennzeichnet, dass verschiedenen externen 
Netzwerken (5) jeweils ein eigener Verbindungsserver 
(20) mit Firewall (201, 202) zugeordnet ist. 

24. Verfahren nach Anspruch 23, dadurch gekenn- 
zeichnet, dass die verschiedenen Verbindungsserver 
(20) mit dem zentralen LDAP-Server (21) verbunden 
sind, wobei auf dem LDAP-Server (21) zu den Identi- 
fiern Attribute abgelegt sind, in denen das zugehorige 
Netzwerk (5) eines Anwendungssystems (501-503) 
abgelegt ist. 

25. Verfahren nach einem der Anspriiche 17 bis 24, 
dadurch gekennzeichnet, dass zum automatischen Da- 
teitransfer von einem sendenden Anwendungssystem 
(101) an den Verbindungsserver (20) eine Datei zum 
Upload in eine Client-Kommunikationskomponente 
(1011) des dem sendenden Anwendungssystem (101) 
zugeordneten Client-Rechners (10) gestellt wird, in 
Verbindung mit dieser Datei ein Upload-Request in die 
Client-Kommunikationskomponente (1011) geschrie- 
ben wird, wobei der Inhalt des Upload-Requests min- 
destens ein Kennung der zu sendenden Datei und eine 
Identification des Anwendungssystems ist, zu dem die 
Datei ubertragen werden soil. 

26. Verfahren nach Anspruch 25, dadurch gekenn- 
zeichnet, dass mittels einer Upload-Funktion des 
Client-Rechners (10) vom Daten sendenden Anwen- 
dungssystem (101) die Client-Kommunikationskom- 
ponente (1011) gescanned wird, der Upload-Request 
gelesen, eine Verbindung zum Verbindungsserver (20) 
aufgebaut und die Datei an den Verbindungsserver (20) 
ubertragen wird. 

27. Verfahren nach Anspruch 25 oder 26, dadurch ge- 
kennzeichnet, dass zum automatischen Dateitransfer 
vom Verbindungsserver (20) an ein empfangendes An- 
wendungssystem (501) eine dem Anwendungssystem 
(501) zugeordnete Scrvcr-Kommunikationskompo- 
nente (2501) durch ein Download-Request aktualisiert 
wird, uber die Downloadfunktion des Client-Rechners 
(50) des empfangenden Anwendungssystems (501) die 



BNSDOCID: <DE 10301 106A1J_> 



DE 103 01 106 A 1 

n 

Server-Kommunikationskomponente (2501)-gescan- 
ned wird, der Download-Request erkannt wird, eine 
Verbindung zum Verbindungsserver (20) aufgebaut 
wird unri die Datei und ein Request in eine Client- 
Kommunikationskomponente (5011) des Client- Rech- 5 
ners (50) geschrieben werden. 

28. Verfahren nach Anspruch 27, dadurch gekenn- 
zeichnet, dass der Client-Rechner (50) des empfangen- 
den Anwendungssystems (501) die Client-Kommuni- 
kationskomponente (5011) scanned, den Request aus- to 
liest und das Anwendungssystem (501) aktiviert. 

29. Verfahren nach einem der Anspriiche 17 bis 28, 
dadurch gekennzeichnet, dass bei Abbruch einer Ver- 
bindung zwischen Client-Rechner (10, 50) und Verbin- 
dungsserver (20) ein automatischer Neuaufbau der Ver- 15 
bindung hergestellt wird. 

30. Verfahren nach Anspruch 29, dadurch gekenn- 
zeichnet, dass die Anzahl der bcim Abbruch aktiven 
Ubertragungen ermittelt wird, von den aktiven empfan- 
genen Dateien ein Bytecount an die Sender ubertragen 20 
wird, wobei die Sender die Counts der zu sendenden 
Dateien auf das ubertragene Bytecount einstellen und 
die Ubertragung aktivieren. 

31. Verfahren nach einem der Anspriiche 17 bis 30, 
dadurch gekennzeichnet, dass durch ein Upload einer 25 
Datei auf dem Verbindungsserver (20) eine Funktion 
aktiviert wird, mittels derer ermittelt wird, an welche 
Anwendungssysteme die Datei verteilt werden soli, 

32. Verfahren nach einem der Anspriiche 17 bis 31, 
dadurch gekennzeichnet, dass die zu ubertragenden 30 
Dateien auf dem Verbindungsserver (20) gespeichert 
werden, wobei den Dateien ein Verfallsdatum zugeord- 
net ist. 

33. Computerprogramm mit Programmcode-Mitteln, 
um alle Schritte von jedem beliebigen der Anspruche 35 
17 bis 32 durchzufuhren, wenn das Programm auf ei- 
nem Computer ausgefuhrt wird. 

34. Compunterprogrammprodukt mit Programmcode- 
Mitteln, die auf einem computerlesbaren Datentrager 
gespeichert sind, um das Verfahren nach jedem beliebi- 40 
gen der Anspruche 17 bis 32 durchzufuhren, wenn das 
Programmprodukt auf einem Computer ausgefuhrt 
wird. 
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